Ксения Шудрова - Защита персональных данных
TRANSCRIPT
![Page 1: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/1.jpg)
Ксения ШудроваЗащита персональных данных
2015
Shudrova.blogspot.ru
![Page 2: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/2.jpg)
Цифры года
• Рост на 200% обращений граждан, 10% доводов подтверждено.
• Поданы исковые заявления в суд на 96 интернет-ресурсов.
• Штрафы: 5 336 804 рублей.
• 1006 плановые и 184 внеплановых проверок – 684 предписания.
![Page 3: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/3.jpg)
Статья 13.11 КоАП
• Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
• влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
![Page 4: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/4.jpg)
Европейская конвенция
• Федеральный закон от 19.12.2005 N 160-ФЗ
• «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
• Цель Конвенции: обеспечение прав и основных свобод человека, в первую очередь права на неприкосновенность личной сферы.
![Page 5: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/5.jpg)
• «Персональные данные» означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных») -статья 2 Конвенции.
• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – статья ФЗ «О персональных данных».
Определение персональных данных
![Page 6: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/6.jpg)
Персональные данные, проходящие автоматическую обработку:
• должны быть получены и обработаны законно;
• должны накапливаться для точно определенных и законных целей;
• должны быть адекватными не быть избыточными;
• должны быть точными и в случае необходимости обновляться;
• должны храниться не дольше, чем этого требует цель.
Основные требования Конвенции
![Page 7: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/7.jpg)
• Запрещается требовать от гражданина предоставления информации о его частной жизни и получать такую информацию помимо воли гражданина, если иное не предусмотрено законом.
• Порядок доступа к персональным данным граждан устанавливается федеральным законом о персональных данных.
Закон 149-ФЗ
![Page 8: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/8.jpg)
• Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Указ Президента РФ
![Page 9: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/9.jpg)
• Принципы и условия обработки персональных данных.
• Права субъекта персональных данных.
• Обязанности оператора.
• Контроль и надзор за обработкой персональных данных.
• Ответственность за нарушения.
ФЗ № 152 «О персональных данных»
![Page 10: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/10.jpg)
• Требования к содержанию письменного согласия определяются Федеральным законом «О персональных данных», отсутствие необходимой информации в форме является нарушением.
• Примеры целей: исполнение договорных отношений с «ХХХ» или осуществление трудовых отношений с «ХХХ».
• Срок действия можно сформулировать следующим образом: «Согласие вступает в силу со дня передачи мною персональных данных в «ХХХ» и действует до момента расторжения Договора с погашением задолженности по Договору».
Форма согласия
![Page 11: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/11.jpg)
Согласие на обработку
![Page 12: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/12.jpg)
По закону в обязанности ЛОЗООПД входит:• осуществление внутреннего контроля за соблюдением
законодательства Российской Федерации о персональных данных;
• доведение до сведения работников положений законодательства Российской Федерации о персональных данных, локальных актов;
• организация приема и обработки обращений и запросов субъектов персональных данных и (или) осуществление контроля за приемом и обработкой таких обращений.
ЛОЗООПД
![Page 13: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/13.jpg)
• Непредоставление уведомления влечет предупреждение или наложение административного штрафа на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.
• В новую форму была добавлена графа информации об ответственном за организацию обработки персональных данных лице.
• В случае, если ранее уведомление организацией подавалось, но по старой форме, вносить изменения можно по закону до января 2013 года.
Уведомление об обработке
![Page 14: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/14.jpg)
Угрозы 1 типа Угрозы 2 типа Угрозы 3 типа
Специальные категории персональных данных
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 1 уровень (если более
100000 субъектов)
2 уровень (если менее
100000)
2 уровень (если более 100000 субъектов)
3 уровень (если менее 100000 субъектов)
Биометрические персональные данные
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 2 уровень 3 уровень
Общедоступные персональные данные
-сотрудников 2 уровень 3 уровень 4 уровень
-не сотрудников 2 уровень 2 уровень (если более
100000 субъектов)
3 уровень (если менее
100000 субъектов)
4 уровень
Иные персональные данные (не специальные, не биометрические, не общедоступные)
-сотрудников 1 уровень 3 уровень 4 уровень
-не сотрудников 1 уровень 2 уровень (если более
100000 субъектов)
3 уровень (если менее
100000 субъектов)
3 уровень (если более 100000 субъектов)
4 уровень (если мене 100000 субъектов)
![Page 15: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/15.jpg)
Класс или уровень?
1 уровень 2 уровень 3 уровень 4 уровень
1 класс + + + +
2 класс - + + +
3 класс - - + +
4 класс - - - +
![Page 16: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/16.jpg)
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Четверокнижие
![Page 17: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/17.jpg)
Некоторые из требований – обязательное присутствие следующих документов:
• перечень информационных систем персональных данных;• перечни персональных данных;• перечень должностей;• должностная инструкция ответственного за организацию
обработки персональных данных в государственном или муниципальном органе;
• типовое обязательство служащего государственного или муниципального органа;
• порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.
Постановление Правительства 211
![Page 18: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/18.jpg)
Приказ 21 ФСТЭК
• Этап 1. Определение базового набора мер защиты.
• Этап 2. Адаптация базового набора мер.
• Этап 3. Уточнение списка мер.
• Этап 4. Добавление дополнительных мер.
• Этап 5 (необязательный). Выбор компенсирующих мер.
![Page 19: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/19.jpg)
• Должна быть возможность определения места хранения персональных данных и установления перечня лиц,осуществляющих обработку персональных данных либо имеющих к ним доступ.
• Необходимо обеспечивать раздельное хранение персональных данных.
• При хранении материальных носителей должен исключаться несанкционированный доступ.
• Перечень мер защиты, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Неавтоматизированная обработка
![Page 20: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/20.jpg)
• Утверждение приказа о назначении ответственных лиц.• Анализ информационной системы.• Разработка формы согласия на обработку ПДн.• Получение согласия сотрудников и клиентов на обработку ПДн.• Утверждение приказа о создании комиссии по классификации ИСПДн.• Классификация ИСПДн.• Подача уведомления в Роскомнадзор.• Разработка и утверждение моделей угроз безопасности ПДн по
требованиям ФСТЭК и ФСБ.• Разработка и утверждение частного технического задания на систему
защиты.• Работа с подрядчиком по поставке, установке и настройке средств
защиты.• Разработка и утверждение нормативной документации.
Основные этапы работ
![Page 21: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/21.jpg)
1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения.
2. Поступление в Службу или ее территориальные органы информации о следующих фактах:
• Возникновение угрозы причинения вреда жизни, здоровью граждан.• Причинение вреда жизни, здоровью граждан.
3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.
4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.
5. Нарушение Операторами требований законодательства в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении, фактической деятельности.
Причины проведения внеплановой проверки
![Page 22: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/22.jpg)
• Подача неполных сведений в уведомлении.• Отсутствие документов об ознакомлении работников с
документами работодателя.• Непринятие организационных мер для защиты
персональных данных.• Несоблюдение требований к содержанию письменного
согласия субъекта персональных данных, а также обработка персональных данных без согласия субъекта.
• Осуществление обработки персональных данных близких родственников кандидатов при приеме на работу без их согласия.
• Отсутствие условия договора об обязанности обеспечения конфиденциальности персональных данных при их передаче третьим лицам.
Основные нарушения 1
![Page 23: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/23.jpg)
• Передача персональных данных третьим лицам без получения согласия субъекта.
• Отсутствие перечня лиц, осуществляющих обработку и имеющих доступ к персональным данным.
• Отсутствие сведений о назначении ответственного за организацию обработки персональных данных.
• Отсутствие документов, определяющих политику в отношении обработки персональных данных.
• Отсутствие документа, определяющего оценку вреда, который может быть причинен субъектам персональных данных.
Основные нарушения 2
![Page 24: Ксения Шудрова - Защита персональных данных](https://reader035.vdocuments.site/reader035/viewer/2022062313/55a8fee91a28ab95278b4870/html5/thumbnails/24.jpg)
• Вначале устраняются наиболее часто встречающиеся нарушения.
• При поступлении уведомлении о предстоящей внеплановой проверке, необходимо заранее подготовить помещение, документацию, а также попытаться устранить нарушение.
• Необходимо оперативно готовить новую документацию по требованиям комиссии и вносить изменения в старую.
Памятка по прохождению проверки